В BI.ZONE SSDLC появился модуль SCA для анализа безопасности зависимостей в коде

Модуль SCA (software composition analysis) позволяет пользователям BI.ZONE SSDLC, платформы для непрерывного контроля безопасности разрабатываемых приложений, оценивать безопасность подключенных зависимостей. Обновление расширяет область сканирования кода, сохраняя прежнее время анализа всего приложения.

Требования к обеспечению безопасности приложений ужесточаются, при этом растут ожидания к скорости выпуска релизов, поэтому организациям необходимо как можно раньше выявлять и предотвращать уязвимости. Ключевую роль в этом процессе играет применение решений безопасной разработки, которые обеспечивают непрерывный мониторинг и управление уязвимостями. Однако часто разработчики сконцентрированы на качестве собственного кода, упуская анализ сторонних зависимостей и компонентов open source, что может привести к уязвимостям в приложении.

«Новый модуль помогает обеспечить безопасность приложений, включая используемые open source — компоненты. Он проводит анализ кода и выявляет зависимости, а затем сравнивает их с известными и постоянно пополняемыми базами данных уязвимостей. В результате модуль формирует отчет об обнаруженных проблемах безопасности в коде. Таким образом, применение SCA в рамках анализа приложения на уязвимости позволяет увеличить покрытие сканирования компонентов кода, при этом общее время анализа уязвимостей остается прежним», — отметил Павел Загуменнов, руководитель решений анализа защищенности, BI.ZONE.

Платформа BI.ZONE SSDLC обеспечивает постоянный мониторинг уязвимостей в обновлениях кодовой базы приложения, а также управляет ими в автоматическом режиме. Решение можно интегрировать с баг-трекером или таск-трекером, чтобы своевременно получать всю информацию, включая данные о критичности уязвимостей и статусе их устранения. Использование встроенных средств автоматизации значительно снижает вероятность, что злоумышленники нарушат безопасность приложений. 

Построение безопасной разработки — сложная задача для большинства компаний, к тому же нанимать и удерживать специалистов для анализа безопасности приложений часто слишком дорого. Использование BI.ZONE SSDLC решает эту проблему, а также существенно снижает трудозатраты на подбор, настройку и интеграцию различных систем сканирования уязвимостей для каждого отдельного проекта. Платформа берет на себя анализ и разбор уязвимостей. Это особенно важно с учетом сложностей, связанных с необходимостью консолидации отчетов из различных источников и последующей ручной верификацией результатов.